Ransomware napada

 Stavio je user Ghost: http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFUD.A

Pod sedmicom vrtim vmware workstation i gore razne virtualke a zbog posla imam server 2008 i win 8.1 (te dvije virtualke su mi baš neophodne). Iako svakih tjedan-dva napravim backup na sigurnu lokaciju svejedno ne bih htio da mi aktualne nešto sjebe.

Pitanje: 

dali se virus i dalje nalazi na zaraženom računalu, ako da dali ga se može ručno ukloniti, ili to sad mogu napraviti antivirus programi? ili možda najbolje da se formatira disk?

Jučer mi se dogodilo nešto čudno. Firma koja nam šalje robu je prešla sa Overseasa na DHL. Došao nam je mail na njemačkom, baš kada očekujemo pošiljku. Mail je fake i ima link koji želi skinuti zip file.

DHL očito ima gamad na svojim kompovima, koja krade email adrese i uvjerljivo šalje mailove.

Jel imao tko takva iskustva?

Evo danas cakcam po jednom kompu, prckam po folderima gdje se gamad inace krije..nadjem fajl koji smrdi na virus.

Skeniram ga Avastom...nista..

Uploadam na virustotal, malwarebytes ga prepoznaje, ostali nista.

Pogledam datum, 2013.. :) onako..

Takodjer, prije par godina (2007) sam pravio malware za osobne potrebe(nije uvaljivanje nego testiranje samo). I dan danas ga ne prepoznaju (rasprostranjenost je nula pa je i to faktor ali i nenapadno ponasanje prema sistemu, nema dropanja itd)

Av koliko god bio napredan ne moze protiv korisnika. Znaci ako je nesto striktno na sistemu, sve zabrane itd..to je korisniku dosadno ali pogodno za sigurnost.

Također smo dobili DHL mail, no nismo njihov direktni korisnik a i u vidu nedavnih napada nitko u firmi se nije usudio niti pogledat mail, te su ga promptno obrisali :)

Što se ransomwarea tiće, evo prijavljujem još jedno plaćanje otkupnine i uspješan povrat podataka na taj način. Ako netko treba dekriptor (spominjalo se u nekoj poruci) za analizu, neka javi pa pošaljem...

Pa evo :)

https://www.sendspace.com/file/vnf0rh

Javite ako istekne pa da osvježim :)

Resorsi ovog exe filea;

BBABORT BITMAP "Bitmap_1.bmp"

BBALL BITMAP "Bitmap_2.bmp"

BBCANCEL BITMAP "Bitmap_3.bmp"

BBCLOSE BITMAP "Bitmap_4.bmp"

BBHELP BITMAP "Bitmap_5.bmp"

BBIGNORE BITMAP "Bitmap_6.bmp"

BBNO BITMAP "Bitmap_7.bmp"

BBOK BITMAP "Bitmap_8.bmp"

BBRETRY BITMAP "Bitmap_9.bmp"

BBYES BITMAP "Bitmap_10.bmp"

PREVIEWGLYPH BITMAP "Bitmap_11.bmp"

DLGTEMPLATE DIALOG 0, 0, 316, 76
STYLE DS_CONTROL | WS_CHILD | WS_VISIBLE | WS_CLIPSIBLINGS
CAPTION ""
LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL
FONT 8, "MS Sans Serif"
{
   CONTROL "", 1119, STATIC, SS_LEFT | WS_CHILD | WS_GROUP, 0, 0, 204, 76
}

TEXTFILEDLG DIALOG 0, 0, 316, 76
STYLE DS_CONTROL | WS_CHILD | WS_VISIBLE | WS_CLIPSIBLINGS
CAPTION ""
LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL
FONT 8, "MS Sans Serif"
{
   CONTROL "", 1119, STATIC, SS_LEFT | WS_CHILD | WS_GROUP, 0, 0, 316, 55
}


STRINGTABLE
LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL
{
65200,    "UDP Not supported by this proxy."
65201,    "Buffer terminator must be specified."
65202,    "Buffer start position is invalid."
65203,    "Reply Code is not valid: %s"
65204,    "This authentication method is already registered with class name %s."
65205,    "Invalid buffer size for decryption"
65206,    "Stream read error"
65207,    "Stream write error"
}

..

Nisam ga pogonio, ne da mi se dizati neku virtualku radi toga, ali vidim da koristi winsock api, što će reći da koristi tcpip, tj. špreha se malo preko mreže. Total13; šta ti kaže firewall?

edit; evo odrezao..

jbg c/p, neka radi mali..

Koliko je prošlo vremena  kada si im uplatio bitcoine do primanja ključa ? Znam da dosta ljudi smatra da ne treba plaćati ali svatko zna najbolje za sebe koliko mu vrijede podaci i da li može povratiti  iz nekih drugih izvora

Je li itko ovo prijavio policiji? Ovo je iznuda novaca. Dužnost je prijaviti. Jer autori virusa su se nabrali puno novaca, možda desetke milijuna eur po cijelom svijetu, i ne smiju proći nekažnjeno i ostati na slobodi s tolkim parama. Radit će još više svinjarija ako im se isplati. A mi se moramo potruditi da im se itekako obije o glavu i ne isplati.

od naših pandura možete samo još i monitore izgubit...

Iskreno se nadam da ste naučili lekciju. Za svaki slučaj si opalite po par šamara sa svake strane...

U pravilu, inficiranog PCja nema (niti je osobito bitan) - stvar je u tome da se smeće obriše nakon obavljenog posla (mi ga nismo nigdje našli) i sva enkripcija se obavila sa jednog PCja, dakle svi fileovi su imali isti seed (public key) za enkripciju... Tako da, vjerojatno je trebalo platiti samo jednu "licencu".

Moja iskustva sa našom policijom su takva da bi se mogla dobra epizoda monty pythona snimiti. Evo, konretno zadnji slučaj. Živim u jednom selu na dunavu. Navečer oko 21 h krećem po svoje kćeri kod mojih staraca. Izađem na glavnu ulicu i vidim dvije poveće svinje kako se "igraju" na pločniku. Nakon 20-ak minuta na istom mjestu je 4-5 svinja. (od cca 80 kg do 200 recimo, koliko sam ja u stanju procjeniti). Zovem policiju (našu lokalnu, imaju ispostavu) i kažem šta sam vidio. Frajer mi kaže "Da, znam - to su svinje od šrajbera" (jedan lik koji živi blizu mene i preziva se šrajber).  Znači OK, svinje trče po ulici i svjesni smo toga.

Zamisli šta bi ti rekli da im kažeš da si žrtva podmuklog i sofisticiranog napada...